付録: サンプルプロファイルとロールポリシー - AWS 規範ガイダンス
アプリケーション 1アプリケーション 2

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

付録: サンプルプロファイルとロールポリシー

アプリケーション 1 のサンプルポリシー

プロファイル 1 のサンプルポリシーでは、Amazon Simple Storage Service (Amazon S3) のバケット 1 に対していくつかのアクションを許可します。

{
    "Version": "2012-10-17", 		 	 	 		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetObject",
                "s3:GetObjectTagging",
                "s3:GetObjectVersion"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket1",
                "arn:aws:s3:::amzn-s3-demo-bucket1/*"
            ]
        }
    ]
}

ロール 1 のサンプルポリシーでは、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスの DescribeInstances アクションを許可し、Amazon S3 のバケット 1バケット 2 でいくつかのアクションを許可します。

{
    "Version": "2012-10-17", 		 	 	 		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances"
            ],
            "Resource": [
                "arn:aws:ec2:us-east-1:123456789012:instance/i-01234567890abcdef"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListAllMyBuckets",
                "s3:ListBucket",
                "s3:GetObject",
                "s3:GetObjectTagging",
                "s3:GetObjectVersion",
                "s3:PutObject",
                "s3:PutObjectAcl",
                "s3:PutObjectLegalHold",
                "s3:PutObjectTagging"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket1",
                "arn:aws:s3:::amzn-s3-demo-bucket1/*",
                "arn:aws:s3:::amzn-s3-demo-bucket2",
                "arn:aws:s3:::amzn-s3-demo-bucket2/*"
            ]
        }
    ]
}

プロファイル 1 ポリシーは、ロール 1 ポリシーによって付与されるアクセス許可を制限します。ロールが引き受けられると、ロールセッションに適用されます IAM Roles Anywhere。ロール 1 を引き受けるアプリケーションは、バケット 1 にのみアクセスできます。プロファイル 1 ポリシーはこれらのアクセス許可を付与しないため、バケット 2 にアクセスしたり、Amazon EC2 アクションを実行したりすることはできません。

アプリケーション 2 のサンプルポリシー

プロファイル 2 のサンプルポリシーでは、Amazon S3 のバケット 2 に対していくつかのアクションを許可します。

{
    "Version": "2012-10-17", 		 	 	 		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetObject",
                "s3:GetObjectTagging",
                "s3:GetObjectVersion"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket2",
                "arn:aws:s3:::amzn-s3-demo-bucket2/*"
            ]
        }
    ]
}

ロール 2 のサンプルポリシーでは、Amazon EC2 インスタンスの DescribeInstancesアクションを許可し、Amazon S3 のバケット 1バケット 2 でいくつかのアクションを許可します。

{
    "Version": "2012-10-17", 		 	 	 		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances"
            ],
            "Resource": [
                "arn:aws:ec2:us-east-1:567890123456:instance/i-05678901234ghijk"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListAllMyBuckets",
                "s3:ListBucket",
                "s3:GetObject",
                "s3:GetObjectTagging",
                "s3:GetObjectVersion",
                "s3:PutObject",
                "s3:PutObjectAcl",
                "s3:PutObjectLegalHold",
                "s3:PutObjectTagging"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket1",
                "arn:aws:s3:::amzn-s3-demo-bucket1/*",
                "arn:aws:s3:::amzn-s3-demo-bucket2",
                "arn:aws:s3:::amzn-s3-demo-bucket2/*"
            ]
        }
    ]
}

プロファイル 2 のポリシーは、ロール 2 によって付与されるアクセス許可を制限します。ロールが引き受けられると、ロールセッションに適用されます IAM Roles Anywhere。ロール 2 を引き受けるアプリケーションは、バケット 2 にのみアクセスできます。プロファイル 2 ポリシーはこれらのアクセス許可を付与しないため、バケット 1 にアクセスしたり、Amazon EC2 アクションを実行したりすることはできません。 Amazon EC2